La gestión de riesgos es el proceso a través del cual se identifican y priorizan, en función de la repercusión para la empresa, los eventos y problemas imprevistos, seguido de las actividades para mitigar y controlar los resultados negativos que podrían provocar daños inaceptables en la rentabilidad, la reputación o el éxito de la empresa. Para respaldar estas actividades, se implementan o desarrollan diversas herramientas, procesos y estrategias.
Vivimos en un tiempo extremadamente volátil en el que incluso las grandes empresas ya consolidadas están reevaluando su futuro. Con la llegada de la pandemia de la COVID-19 y su efecto persistente en los mercados mundiales, las empresas se enfrentan a grandes riesgos y a la posibilidad de una interrupción continuada en un futuro verdaderamente incierto.
Para gestionar el impacto de estas amenazas e incertidumbres, las empresas de éxito están mostrando un interés renovado por la optimización y mejora de su enfoque sobre la gestión de riesgos. Esto significa que están reorientando las estrategias tradicionales para pasar de una mera reacción, a la identificación y preparación proactivas frente a posibles riesgos mucho antes de que surjan. Con el enfoque adecuado para la gestión de riesgos, las empresas grandes y pequeñas pueden reducir no solo las posibles consecuencias negativas de riesgos específicos, sino también la probabilidad de que esos riesgos se materialicen.
En cierto modo, la gestión de riesgos es similar a las características de seguridad de un automóvil. Al igual que los faros del coche, la gestión de riesgos permite a las empresas detectar obstáculos y condiciones de peligro antes de toparse con ellos. Comparte también la función de los frenos y el volante del vehículo, ya que este proceso permite corregir el rumbo de las organizaciones para evitar situaciones desfavorables. Y, por último, como ocurre con los cinturones de seguridad y los airbags, la gestión de riesgos ofrece capas adicionales de protección cuando se producen escenarios inevitables.
En otras palabras, la gestión de riesgos existe para garantizar que la empresa siga existiendo. A continuación, analizaremos más de cerca algunos de los factores clave que hacen que la gestión de riesgos sea una cuestión vital para las empresas de todos los tamaños:
La gestión de riesgos eficaz no solo se centra en las grandes amenazas existenciales, sino que también aborda los riesgos personales para empleados y clientes. Por ejemplo, a través de esta práctica las organizaciones podrían identificar problemas de salud y seguridad antes de que afectasen a sus empleados. Si se emplea correctamente, la gestión de riesgos ayuda a las organizaciones a crear un entorno seguro para todas las partes interesadas de la organización, independientemente de su posición.
Dos propósitos importantes de la gestión de riesgos son identificar posibles sucesos no deseados e implementar procesos y procedimientos para minimizar su impacto en la empresa. Como los riesgos se rastrean y gestionan de forma activa, los equipos pueden centrarse en sus resultados esenciales sin tener que preocuparse de interrupciones inesperadas u otros acontecimientos imprevistos. Al mismo tiempo, la gestión de riesgos pone claramente de manifiesto los retos presentes en los proyectos, lo que permite a los equipos abordarlos rápidamente, en lugar de dejarlos a un lado para lidiar con otras preocupaciones diarias.
Cuando la gestión de riesgos se aplica correctamente, puede ayudar a las empresas a evitar situaciones legalmente desfavorables. Al gestionar los riesgos y prepararse para situaciones problemáticas o prevenirlas, las empresas pueden operar sin el peligro de ser responsables de los daños que puedan provocar esos otros riesgos.
La gestión de riesgos no consiste en hacer conjeturas; es un análisis intensivo de los datos para calcular probabilidades y crear un pronóstico preciso de posibles acontecimientos futuros. Gracias a ello, las empresas pueden crear presupuestos de contingencia muy fiables.
Cuando todo funciona sin problemas, es fácil olvidarse de los factores importantes que mantienen las operaciones a flote. La gestión de riesgos obliga a las organizaciones a mantener la coherencia en sus procesos mediante evaluaciones y pruebas de control, con el objetivo de identificar los riesgos operativos. Esto proporciona el tiempo necesario para abordar problemas y ejecutar planes antes de que los riesgos afecten a la estabilidad de la empresa o provoquen una crisis.
Cuando una organización supervisa de manera proactiva los riesgos para abordarlos a medida que aparecen, no solo mejora su estabilidad operativa, sino también la productividad y, en última instancia, el resultado final. Si una organización es eficaz, puede adoptar una visión de futuro y posicionarse por delante de la competencia.
Es difícil analizar con detalle los riesgos si no se tiene una buena comprensión de la seguridad. La gestión de riesgos puede ayudar a identificar las amenazas de seguridad que podrían colarse por las rendijas de una herramienta de seguridad o para las que una organización podría no estar preparada, ya que proporciona una senda clara para mejorar la situación en materia de seguridad.
El objetivo final de la gestión de riesgos es bastante evidente: proporcionar a los responsables de la toma de decisiones la información y los conocimientos que necesitan para dirigir a la empresa. La gestión de riesgos proporciona a los líderes acceso a datos detallados sobre riesgos para que identifiquen ineficiencias o áreas que necesitan mejoras, de modo que puedan tomar mejores decisiones basadas en riesgos para orientar sus estrategias y garantizar la seguridad y rentabilidad de la empresa.
En la gestión de riesgos, el riesgo se clasifica en muchos tipos distintos:
- Riesgo digital
- Riesgo de ESG
- Riesgo de proveedores/terceros
- Riesgo relacionado con la calidad
- Gestión relacionado con la continuidad empresarial
- Riesgos relacionados con las personas
- Riesgo relacionado con el medioambiente, la salud y la seguridad
- Riesgo relacionado con la ética y el cumplimiento
- Riesgo legal o de privacidad
- Riesgo financiero
- Riesgo operativo
- Riesgos tecnológicos o ciberriesgos
Aunque cada organización puede tener que enfocar la gestión de riesgos de forma diferente, muchas optan por seguir un proceso común. Este proceso consta de cinco pasos básicos, cada uno de los cuales está formado por una primera y una segunda línea de defensa:
Primera línea de defensa: revisar los riesgos existentes e identificar los riesgos emergentes de las actividades empresariales o informar de eventos de riesgo.
Segunda línea de defensa: realizar una revisión independiente de los riesgos y cuestionar las actividades y los resultados de la primera línea de defensa.
Primera línea de defensa: realizar evaluaciones de riesgos y revisar los inventarios de riesgos.
Segunda línea de defensa: realizar una evaluación independiente de los riesgos y cuestionar las actividades y los resultados de la primera línea de defensa.
Primera línea de defensa: gestionar los riesgos y requisitos derivados de leyes, normativas y políticas.
Segunda línea de defensa: definir expectativas de control, evaluar de manera independiente y cuestionar la eficacia de los controles de la primera línea de defensa.
Primera línea de defensa: garantizar que los controles funcionan de manera eficaz y que los problemas se solucionan rápidamente.
Segunda línea de defensa: revisar las actividades de supervisión, autogarantía y gestión de problemas de la primera línea. Automatizar las pruebas de control siempre que sea posible para obtener más información en tiempo real.
Primera línea de defensa: proporcionar información precisa y escalar de forma oportuna a todas las partes interesadas relevantes.
Segunda línea de defensa: agrupar y evaluar la información en toda la empresa para proporcionar conocimientos a las partes interesadas relevantes.
La identificación de riesgos es un aspecto esencial de la gestión de riesgos. Una vez que se diagnostica una posible amenaza, las organizaciones tienen varias opciones para responder. Los cuatro enfoques sobre la gestión de riesgos son los siguientes:
Una estrategia de prevención del riesgo puede ser eficaz en situaciones en las que el riesgo en sí no se puede eliminar por completo. En ese caso, las organizaciones recurren a la prevención del riesgo para desviar y redirigir tantos riesgos como sea posible, reduciendo la probabilidad de experimentar interrupciones u otros daños.
En la reducción de riesgos, las empresas realizan ajustes en ciertos aspectos de los proyectos en curso, ya sea modificando componentes del proyecto o su alcance. El objetivo es reducir el riesgo para recortar las pérdidas potenciales en el proceso.
A veces, la amenaza asociada con ciertos riesgos se puede abordar mediante la difusión de información sobre el riesgo en sí mismo en varios departamentos, participantes de proyectos o incluso terceros proveedores.
No todos los riesgos son graves; algunos riesgos menores se pueden tolerar, ya que presentan una amenaza mínima para las operaciones empresariales. En muchos casos, resulta más apropiado y práctico trabajar asumiendo ciertos riesgos menores que destinar recursos a mitigarlos o eliminarlos.
A pesar de su importancia en las empresas modernas, llevar a cabo un proceso de gestión de riesgos efectiva puede ser difícil. Se deben tener en cuenta los siguientes retos:
La gestión de riesgos debe ser un conjunto de responsabilidades en toda la empresa, pero muchas empresas aún están organizadas en silos, lo que puede dificultar la asignación definitiva de roles relevantes para identificar, evaluar y responder al riesgo en toda la empresa.
A menudo, los sistemas heredados y otros elementos de hardware y software desactualizados pueden ser incapaces de abordar eficazmente los riesgos nuevos y emergentes.
Responder manualmente a los riesgos lleva tiempo, es un proceso continuo y tiene un alto potencial de errores humanos. Para las organizaciones que carecen de competencias de automatización, supervisar y responder continuamente a los riesgos resulta excesivamente difícil.
Debido a que las empresas deben ser capaces de responder de forma cohesionada y rápida a las amenazas emergentes, es esencial que dispongan de información coherente y fiable con la que operar. Sin una única fuente de datos en tiempo real, la gestión de riesgos se vuelve mucho menos eficaz.
La gestión de riesgos, la continuidad y la resiliencia empresarial van de la mano. Si la organización no cuenta con competencias modernas de continuidad, responder a los riesgos puede resultarle complicado.
Ya sea a través de la transformación digital o las ciberamenazas, al igual que la tecnología de gestión de riesgos sigue avanzando, también lo hacen la cantidad y la sofisticación de los nuevos riesgos y las posibles amenazas. A muchas empresas les resulta difícil seguir el ritmo de la evolución constante del panorama de riesgos.
Al igual que la cantidad de amenazas sigue aumentando, también lo hace el número de normativas derivadas de nuevos estándares, como el compromiso medioambiental, social y de gobernanza (ESG) o la necesidad de mitigar el posible daño en los datos confidenciales y la exposición de los mismos. La responsabilidad de cumplir con estas nuevas normativas y proteger los datos esenciales de los clientes está en manos de equipos de riesgo y cumplimiento saturados y con poco personal.
Muchos de estos desafíos desembocan en el mismo problema: un aumento de los costes. A medida que aumentan los riesgos y los estándares de cumplimiento evolucionan para contrarrestarlos, las empresas de prácticamente todos los sectores tienen que ampliar los presupuestos para mantener la eficacia en el marco de sus estrategias de gestión de riesgos.
Aunque el número de riesgos potenciales a los que se enfrentan las organizaciones sigue creciendo, no hay una cantidad cada vez mayor de empleados cualificados que las organizaciones puedan contratar para satisfacer la necesidad de contrarrestarlos. Sin equipos de riesgo y cumplimiento competentes, es difícil preservar la seguridad y la rentabilidad de la empresa.
La gestión de riesgos es una responsabilidad amplia y continuada. Para lograr estrategias eficaces de gestión de riesgos, las organizaciones deben tener en cuenta las siguientes prácticas recomendadas:
Revisa la lista de políticas y comprueba que incluyen los riesgos pertinentes para poder abordar cualquier problema. Cuenta con un proceso para actualizar las políticas y obtener las aprobaciones pertinentes. Operar con políticas desactualizadas puede dar lugar a incumplimientos de normas y a resultados no favorables en las auditorías; factores que entrañan riesgos significativos para la empresa. También se debe revisar regularmente el registro de riesgos para que esté actualizado.
Como se ha mencionado anteriormente, la gestión de riesgos es una responsabilidad compartida que incumbe a todos los equipos, departamentos y niveles. Tener un lenguaje y una taxonomía comunes que faciliten la comunicación efectiva y abierta es indispensable. El enfoque de gestión de riesgos de la organización debe involucrar a las partes interesadas tanto externas como internas, para garantizar que todas son plenamente conscientes de los riesgos, que los evalúan de la misma manera, que están actualizados con respecto a los mismos y que son capaces de proporcionar información importante para identificar, supervisar y responder a los riesgos.
Como parte del proceso de planificación, es imperativo identificar el umbral de riesgo de la organización. Esto permitirá que la empresa asuma los riesgos necesarios para seguir siendo competitiva sin poner en riesgo su viabilidad. Esta cuestión debe acordarse en los niveles más altos de la organización y va de la mano con la definición de un lenguaje y una taxonomía comunes.
Cada empresa es única y también lo son los riesgos específicos a los que se enfrenta. Por ello, el marco de trabajo de gestión de riesgos de una empresa debe adaptarse a su perfil de riesgo. Piensa cuidadosamente en tu enfoque de gestión de riesgos y en los procesos que has implementado. En muchos casos, el enfoque que has venido aplicando hasta ahora no es la manera más efectiva de gestionar el riesgo. Además, debes asegurarte de que la solución de gestión de riesgos utilizada se pueda configurar y no se implemente “tal cual” simplemente porque ha sido eficaz para otras empresas. Mejora la eficacia identificando en qué áreas deben cambiar los procesos de la herramienta para satisfacer tus necesidades y entornos operativos bien estudiados y responder dinámicamente para abordar los problemas que no se habían previsto del todo.
La gestión de riesgos no puede existir de forma aislada; debe integrarse completamente en los procesos de gobernanza y planificación existentes y en muchas partes interesadas. Al obtener la participación de otros departamentos e incluir la gestión de riesgos a nivel estratégico y operativo, las empresas pueden garantizar que se aborden las consideraciones adecuadas de gestión de riesgos cuanto antes y de manera frecuente.
El dinero y el tiempo no son los únicos factores relevantes cuando las empresas se enfrentan a riesgos en constante evolución; la imagen de la marca también puede verse afectada, lo que puede generar mayores pérdidas en todos los ámbitos. La gestión de riesgos también debe abordar las amenazas a la reputación de la organización. Por ello, el personal pertinente deberá recibir formación en la gestión de crisis, de modo que la información importante pueda difundirse rápidamente a los clientes para mitigar los daños a la reputación en caso de que se produzca una situación imprevista.
Aunque es fundamental que las organizaciones puedan responder dinámicamente a los riesgos emergentes, es igual de importante que los procesos de gestión de riesgos sean lo más coherentes posible en toda la empresa. Esto promoverá la coherencia y la fiabilidad, y ayudará a garantizar que todos los involucrados sepan exactamente lo que deben hacer para ayudar a mitigar las amenazas.
Aunque el objetivo de todas las empresas debe ser el de crear una estrategia de gestión de riesgos integral, la verdad es que siempre habrá incertidumbre y otras limitaciones. Toma nota de estas debilidades y presta especial atención a las áreas donde la información disponible es limitada. Con una imagen clara de las lagunas en la gestión de riesgos, las empresas pueden continuar mejorando su enfoque a medida que se disponga de más información.
La documentación y los certificados de las pólizas de seguros son la prueba de cobertura para ciertos tipos de riesgo. Guarda esta documentación correctamente, de forma que se pueda recuperar fácilmente, incluso después de que la cobertura haya caducado. A menudo, puede pasar mucho tiempo entre la aparición de un evento dañino y la manifestación de las pérdidas derivadas de ese evento. Contar con la documentación del seguro relevante a mano ayudará a garantizar que las responsabilidades de la aseguradora se gestionen correctamente.
Las empresas siempre deben correr algún riesgo para garantizar su competitividad. Sin embargo, con las soluciones, los recursos y las estrategias de gestión de riesgos adecuados, las organizaciones pueden gestionar eficazmente ese riesgo, a la vez que ayudan a garantizar la resiliencia y la continuidad frente a un futuro incierto. ServiceNow, líder en gestión de TI y automatización de flujos de trabajo, está a la vanguardia de este movimiento.
ServiceNow hace que el mundo laboral funcione mejor para todos. ServiceNow permite a empresas de todos los tamaños incorporar sin problemas la gestión de riesgos, las actividades de cumplimiento y la automatización inteligente en los procesos de negocio digitales para supervisar y priorizar el riesgo de forma continua. Las soluciones de gestión de riesgos de ServiceNow ayudan a transformar los procesos ineficientes y los datos aislados de toda la empresa en un programa de riesgo automatizado, integrado y procesable. Puedes mejorar tu proceso de toma de decisiones basado en el riesgo aumentando el rendimiento de la organización, además de con los proveedores, para gestionar en tiempo real los riesgos que afectan a tu empresa. Además, tomarás decisiones informadas sobre riesgos en tu trabajo diario, sin sacrificar los presupuestos.
ServiceNow permite a empresas de todos los tamaños integrar sin problemas la gestión de riesgos y el cumplimiento en las experiencias digitales y los flujos de trabajo, para que las personas y las organizaciones trabajen mejor. Gestión de riesgos se basa en la galardonada ServiceNow AI Platform y ofrece una visibilidad y un control completos. Te permite identificar y gestionar los riesgos y la información vital; supervisar las áreas de alto riesgo; diagnosticar los controles que no se adhieren a los requisitos de cumplimiento; y crear y programar autoevaluaciones de riesgos críticos; todo ello desde una sola ubicación centralizada. Además, gracias a los informes y análisis avanzados, la orientación y las bibliotecas de taxonomía integradas, y las soluciones de automatización avanzadas, las organizaciones tienen todo lo que necesitan para evaluar los riesgos y prepararse para afrontarlos sin sacrificar los presupuestos.
Descubre lo lejos que puede llevarte una preparación correcta con Gestión de riesgos de ServiceNow.